檢測(cè)時(shí)間和修復(fù)時(shí)間，決定是安全事件還是數(shù)據(jù)泄露。目前，雖然市面上有很多新產(chǎn)品幫助安全團(tuán)隊(duì)檢測(cè)事件，但是能夠幫助IT運(yùn)營(yíng)團(tuán)隊(duì)快速修復(fù)事件影響的工具卻極少見。

問題之一，就是檢測(cè)和修復(fù)是兩個(gè)相互獨(dú)立的操作，而且它們分別由安全團(tuán)隊(duì)和IT團(tuán)隊(duì)執(zhí)行。但安全并非IT的唯一客戶——IT還要響應(yīng)合規(guī)、審計(jì)和公司內(nèi)幾乎所有運(yùn)營(yíng)部門的改善或新增App請(qǐng)求。

結(jié)果就是，今天眾多威脅檢測(cè)系統(tǒng)產(chǎn)生的大量誤報(bào)，讓本已沉重不堪的工作量更加難以完成了。1000名IT專業(yè)人士組成的1E自身研究團(tuán)隊(duì)表示，超半數(shù)的人花費(fèi)25%的時(shí)間，響應(yīng)來自緊急安全更新、配置改變和軟件審計(jì)的非計(jì)劃事件。

上周，1E發(fā)布了Tachyon，旨在為IT運(yùn)營(yíng)提供全I(xiàn)T資產(chǎn)觸角的即時(shí)可操作訪問(多達(dá)150萬臺(tái)終端)——無論終端分布和操作系統(tǒng)情況。每個(gè)終端都部署有代理，無論是服務(wù)器、桌面電腦、移動(dòng)設(shè)備還是IoT設(shè)備，都可以被Tachyon服務(wù)器查詢。全公司范圍的資產(chǎn)，都可在安全事件發(fā)生數(shù)秒內(nèi)被隔離并采取修復(fù)行動(dòng)。

斯圖爾特·奧金，1E產(chǎn)品高級(jí)副總裁，稱可將Tachyon前端比作IT資產(chǎn)的谷歌搜索引擎。可在前端提問，來自各個(gè)終端的答案秒回。基于這些回答，便可采取修復(fù)行動(dòng)了——同樣是秒級(jí)。

奧金給出了有關(guān)Java濫用的例子。假設(shè)安全團(tuán)隊(duì)知道某Java漏洞正被利用，并將此信息傳達(dá)給了IT運(yùn)營(yíng)團(tuán)隊(duì)。在Tachyon前端按“Java”關(guān)鍵字搜索設(shè)備軟件，便會(huì)列出所有風(fēng)險(xiǎn)設(shè)備。然后再搜索連接到攻擊者IP地址的歷史證據(jù)，數(shù)秒內(nèi)，所有被感染設(shè)備(如果有的話)就會(huì)被定位。

指令Tachyon向本地防火墻添加一條該IP地址的攔截規(guī)則，與攻擊者的進(jìn)一步通信便能被立即封鎖。重復(fù)這一過程，可確保沒有任何設(shè)備能連接攻擊者。

該原則全面適用。如果安全團(tuán)隊(duì)從其他威脅情報(bào)系統(tǒng)知曉當(dāng)前威脅，或檢測(cè)到攻擊指標(biāo)，并能定義該威脅，IT團(tuán)隊(duì)就可使用Tachyon，在數(shù)秒內(nèi)定位并修復(fù)之。當(dāng)然，未必得是安全威脅——監(jiān)管威脅、審計(jì)要求之類都可以。比如說，可用來定位特權(quán)賬戶對(duì)敏感數(shù)據(jù)的訪問，刪除非必要的東西等等。如果需要的話，還可以將其他特權(quán)賬戶的準(zhǔn)確細(xì)節(jié)發(fā)送給審計(jì)。

奧金強(qiáng)調(diào)：Tachyon不是用來替代現(xiàn)有安全投入的，而是與現(xiàn)有解決方案協(xié)作，增強(qiáng)其性能。微軟SCCM就是個(gè)例子。“其他廠商提倡的是推倒重來策略，我們則是全新打造Tachyon，覆蓋在微軟SCCM之上，推動(dòng)其速度和響應(yīng)。”1E創(chuàng)始人兼CEO蘇米爾·卡拉伊評(píng)論道。

Tachyon首批用戶之一，財(cái)富500強(qiáng)醫(yī)療保險(xiǎn)公司證實(shí)了這一點(diǎn)。“我們重度依賴微軟SCCM和其他1E解決方案，自動(dòng)化軟件更新之類日常IT任務(wù)，但缺乏即時(shí)發(fā)現(xiàn)并修復(fù)嚴(yán)重問題的能力。”該公司基礎(chǔ)設(shè)施工程經(jīng)理說，“1E的Tachyon補(bǔ)強(qiáng)了這些實(shí)時(shí)能力——幫助我們應(yīng)對(duì)緊急事件。有了Tachyon，我們便能用有組織的可控方式，在數(shù)秒內(nèi)解決大問題，不再像以前似的要花幾小時(shí)。”

Tachyon運(yùn)作關(guān)鍵在于每個(gè)終端上的代理。這些代理會(huì)查詢?cè)O(shè)備，與Tachyon服務(wù)器維持安全通信。它們提供修復(fù)步驟的功能基礎(chǔ)，在不對(duì)核心系統(tǒng)做任何升級(jí)的情況下允許引入額外的功能，確保系統(tǒng)是完全可擴(kuò)展的。這是個(gè)跨平臺(tái)的終端，支持微軟、Mac、Linux、移動(dòng)和IoT——適合大企業(yè)和新興物聯(lián)網(wǎng)。

Tachyon方法的能力所在，是它不替代任何東西，也不嘗試自動(dòng)化決策。事實(shí)上，在修復(fù)動(dòng)作中那些可謂“重大修改”的地方，在修復(fù)被執(zhí)行前都會(huì)被要求二次確認(rèn)的。它讓現(xiàn)有系統(tǒng)更有效更快速。公司企業(yè)仍需威脅分析師來識(shí)別潛在事件；需要IT運(yùn)維團(tuán)隊(duì)在必要的地方影響修復(fù)。Tachyon能使兩個(gè)團(tuán)隊(duì)更有效協(xié)作，以便潛在事件能在數(shù)秒內(nèi)被檢測(cè)并修復(fù)，而不是要數(shù)小時(shí)甚或幾天。